Враження від відвідування конференції з кібербезпеки Hack.Lu (Люксембург)

Враження від відвідування конференції з кібербезпеки Hack.Lu (Люксембург)

Враження від відвідування конференції з кібербезпеки Hack.Lu (Люксембург), https://2019.hack.lu 22-24 жовтня 2019. Лонгрід.

Після великого інтересу до мого виступу на NoNameCon у травні 2019 про такий непересічний соціально-драматичний феномен як #FRD, виникла думка а чи не цікаво буде про таке послухати нашим колегам в інших країнах.
Натхненний підбадьорюваннями колеги та бізнес-партнера Volodymyr Styran, подав заявки виcтупити на кількох міжнародних кібер-конференціях, і одну з них затвердили: то була конференція у Люксембурзі Hack.Lu
Раніше про неї не чув, але ж якщо запрошують – треба їхати.
До першого свого виступу на англомовній конференції готувався ретельно, (дякую, що колеги допомогли, як морально так і порадами), але летів до маленької країни посеред Європи з легким хвилюванням. Перший раз виступатиму англійською перед великою аудиторією, як ніяк.
Уся держава Люксембург за територією як три Києва, а її столиця місто Люксембург трохи більша Луцька (52 vs 42 кв.км). Людей там живе взагалі менше, ніж у будь-якому районі Києва. Але держава Люксембруг є одним з батьків-засновників Європейського Союзу і рівень життя у країні досить високий. І ціни, відповідно, також))
А ще у державі Люксембург є маленьке село Шенген, де у 1985 році була підписана однойменна угода, про яку знає кожен українець.
Прямих рейсів з Києва до Люксембургу немає, тож летів з пересадками.

Конференція проходила у 4-зірковому готелі за містом (десь за сім кілометрів), де і жила переважна більшість учасників та спікерів, тому особливо роздивитися місто Люксембург толком не вдалося.
Зате півтори дні провів на досить цікавій конференції, і вільного часу особливо не було.
Прилетів я після обіду, швиденько кинув рюкзака до номеру, вдягнув шикарну футболку з написом OWASP Ukraine на грудях і пішов до сесійної зали.

Спочатку про організаційні особливості.
Захід було організовано місцевим CERT – cikl.lu
Таке важко уявити в Україні, але це цілком нормальна практика у цивілізованих країнах, де (оужас!) немає Держспецзв’язку.
Прикольний формат бейджа – такий собі гаманець на мотузочці, куди можна покласти і візитівки, і програмку, і картку-ключ від номеру, і банківську картку, і гроші. І після конференції можна користуватися. Дешево і сердито, гарно придумано.
Розетки для підзарядки девайсів прокладено просто під стільцями у залі. З турботою про відвідувачів.
Сам зал здивував розмірами: десь на 500 людей, і він був заповнений постійно на 80-90%.
Модератори – височенні здоровенні хлопці, 30-40 років, дуже привітні та багато жартують із залом та між собою.

Спочатку попав на виступ про безпеку безпровідних мишей, клавіатур, презентерів. Висновок простий: більшість з них вразливі. Спікер показав порівняльні таблиці вразливостей на дві сторінки, порекомендував які захищені девайси і де краще купляти. Я перед своїм виступом спитав у модератора потоку чи захищений буде презентер. Він сказав що тіпа так, але я чомусь йому не повірив і користувався клавіатурою лептопа. Бо пройняла презентація.

Потім слухав спікера з таким страшним французьким акцентом, що не одразу зрозумів що він говорить англійською. Хлопець працює у якому державному кібер-центрі у Франції і формат презентації був типово-госушний: кожен слайд перевантажений текстом, ніяких картинок (недайбоже смішних), усе з булетами. Розказував про вразливості роутерів Cisco IOS XR, але щось зрозуміти можна було лише якщо не слухати спікера, а швидко читати зі слайдів.

Потім слухав презентацію «як вбити MD5»
Чувак довго не міг запустити презу, потім сказав, що не розбирається у криптографії, але буде розказувати про «наслідки криптографічних атак». Ну таке.
Висновок виступу простий: don’t play with fire, don’t use MD5, kill it everywhere.

Після цього закінчився перший день презентацій і десь за годину спікерів запросили сідати у орендований автобус і їхати кудись на speakers’ dinner.
Було вже темно, з вікна автобуса міста майже не побачив, а ресторан був десь близенько від околиці міста. Увесь натовп спікерів (десь людей 40-50) підійшла до ресторану і ще чекала хвилин 15 поки організатори про щось домовлялися всередині. Потім запросили всередину першу партію з 10-15 людей, інші залишилися чекати надворі. Я був останнім у першій партії і лише потім зрозумів, як мені повезло. Ми зайшли, замовили напої, і нам їх почали приносити хвилин за 30. Їжу принесли десь за півтори години. Хлопець з Голландії, який сидів поруч, вже пальці собі гриз від голоду. Добре, що ми увесь цей час весело калякали і гигикали, тому не сильно страждали. Меблі в ресторані якісь страшнувати, їжа не так щоб дуже смачна, але ж нахаляву, чого скиглити. А коли ми вже годину сиділи і чекали на якусь їжу, хтось прийшов і сказав, що усі інші спікери досі стоять перед дверима ресторану. І тоді усі пристуні оцінили як нам всім повезло.
Взагалі, незважаючи на величезний але стрьомнуватий ресторан, фігову організацію спікерської вечері, атмосфера була приязна та весела, багато сміялися та жартували, перезнайомилися між собою.
Привезли усіх до готелю вже на початку дванадцятої, тож я ледве доліз до ліжка, заморений та переповнений враженнями. Віскі там не було, тож я випив лише бокал якогось місцевого легенького пива, та і то радше заради компанії.

А ось на другий день я слухав майже усі виступи. Ну і сам виступив.

Відкрив день Zoz, хлопець з жовтим ірокезом, у шортах та літніх капцях. Відомий тим, що свого часу був одним із спів-ведучих шоу Prototype This! на телеканалі Discovery.
Його зовсім не-технічна презентація була про самокеровані авто, суда та літаючі апарати, що вони врешні-решт залежать від одного сенсора і чому це поки що не працює. І як легко їх атакувати. Преза дуже весела, багато смішого відео, раджу подивитися.

Після нього виступав хлопець з CERT-EU, якого просто закидали питаннями.
Загалом дивна штуку помітив: більшості спікерів взагалі не ставили питань після виступів, або по одному і якомусь ніачом. Для себе я таку ситуацію пояснюю або тим, що преза або не дуже цікава («не зачепило»), або спікера банально не зрозуміли. В кулуарах казали, що у деяких спікерів тупо погана англійська, і я це теж відчував, хоча і сам не експерт з англійської. Але якщо мені, умовно пересічному англомовному відвідувачу конференції з усного тексту презентації незрозуміла майже половина – значить щось негаразд з вимовою спікера( а інколи і з граматикою та термінологією).
Тобто якщо задають питання – значить преза цікава, що хотів сказати спікер – зрозуміло, але деякі моменти потребують пояснення з боку доповідача.

Потім був виступ, якого я чекав: «Червона площа», огляд росіянських кібер-банд.
Два чувака зібрали до кучі усе, що було їм доступно про різні атаки рузькомірних і візуалізували то все у таку собі цікаву інтерактивну карту-базу даних: apt-ecosystem.com
Пояснили як вони збирали та систематизували дані, принагідно виявили раніше невідомі взаємозв’язки. Прикольна штука, поклацав по ній просто під час виступу.

Біловолосий японець Хендрік з японського ж CERTу розповідав про безфайлові методи для виконання шкідливого коду на Linux. Судячи з усього, Хендрік є спів-організатором конференції і добре знайомий з усіма місцевими. Він бігав по ресторану напередодні ввечері, бігав по локаціям конференції, допомагав спікерам. Непересічний персонаж, такі запам’ятовуються.

Жінка на ім’я Андреа розказала, що вона багато років працювала в індустрії розробки відео-ігор, але останнім часом перейшла у безпеку. Цікаво було послухати як розробники та тестери рапортують про баги в іграх і як це можна використати «як експлоіт у вигляді гри».

Після неї виступала Міріам «з маленької та невідомої компанії Microsoft»
Спочатку говорила чітко та роздільно, але потім я зрозумів, що так говорять люди, які не дуже впевнені у своїй англійській. Намагалася жартувати, але ніхто не сміявся. Деякі репліки звучали істерично.
Але тема виступу сподобалася. Кілька тезисів: Одна маленька помилка в Active Directory може призвести до отримання зловмисником контролю над системою. Треба вести логи, але їх дуже багато і як виявити саме те, що потрібно? Рішенням може бути інструмент Windows EventList. Але інтегрований з MITRE ATT&K. Цю шикарну матрицю від крутезних MITRE Міріам назвала фреймворком, у чому я не впевнений.
Загальне враження таке: тема цікава і перспективна, але спікерці трохи зарано виступати на івентах подібного рівня, треба ще трохи потренуватися на внутрішніх мітапах.

Англійська Маріон з Орегону, США звучала якось дуже по-європейські і про цю невідповідність я думав майже 15 хвилин. Вона говорила більше години замість відведених 45 хвилин, але її чомусь ніхто не зупинив. Тема була настільки технічно-кодерська, що я майже нічого не зрозумів.

А потім настав час мого виступу.
Переказувати не буду, відео можна переглянути тут: https://tinyurl.com/y4vty8sg
Скажу лише, що це була коротка версія мого травневого виступу на NoNameCon (десь 25 хвилин замість стандартних 45) про #FRD, що воно таке, як все проходило, яка мало значення і до чого призвело.
Після виступу було аж 4 питання з залу, одне з яких я просто не зрозумів. Якщо були питання – ставлю собі плюсик, я молодець. Значить, тема зчепила і розказано було зрозумілою мовою. Питання і безпосередньо після презентації, і пізніше в кулуарах, в курилках та на кава-брейках були приблизно про одне і те саме: а це точно законно? а чи можна так у моїй країні? а точно #FRD не порушує права власників систем?
Підійшли наші кияни з SOC Prime, подякували за виступ, покалякали про наші українські кібер-справи, запитали які в Україні найближчі корисні кібер-конференції. Про UISGCON знають, про NoNameCon знають, розпитували чи будуть ще якісь BSides. Ще їм розказав про прийдешній NNC Anticon. Наче у цьому році нічого більше не передбачається.
Поки калаякали, підійшов хлопчина з Косово, який живе у Німеччині та працює у SAP на посаді network security architect. І вже вчотирьох обговорювали тему мого виступу. І цей хлопець сказав, що якщо у Німеччині ти опублікуєш документ з внутрішньої мережі, нехай навіть ніяк не захищеної – матимеш великі проблеми з інтелектуальними правами. Та і взагалі сказав, що #FRD навряд чи можлива в Німеччині, забагато проблем матимеш. Я перепитав: «Ти впевнений?», він відповів: «Ну-у-у, я не юрист, але я так думаю».
Пізніше підходив хлопець з Франції і теж спочатку казав, що це у них буде незаконно. Посперечалися на тему «а де кордон між законним та незаконним»? Про гаманець на дорозі (каже, що як тільки ти його підняв – ти вже злочинець, у Німеччині), про відкриті двері будинку (перетинати поріг не можна, але ж #FRD не ламає замки і не відчиняє двері, лише показує, що двері відкриті), про незаконність сканування (але як стосовно того, що хтось інший насканив версію PHP сайту, а потім просто надіслав мені посилання на неї, а я опублікував інформацію про застарілу версію?) Врешті решт дійшли згоди, що буцати криворуких довбодятлів треба і у них, і у нас, і взагалі скрізь.
Також про незрозумілість для аудиторії питання «де кордон» писали по моєму виступі також в офіційному блозі конференції. Якщо ще колись виступатиму на цю ж тему перед не-українцями – треба буде доопрацювати цей момент, типу ‘a pointing to lack of cybersecurity in critical infrastructure cannot be a crime, it’s just a instinct of self-preservation’.
Ще один бельгієць казав, що йому було страшнувато на моїй презентації. От такий ефект мною не геть планувався, хоча і не виключався. Якісь вони дивні, західно-європейці, вірять своїм урядам та у справедливість законодавства.

Як часто буває після моїх виступів, усю наступну сесію провів у обговореннях, тому не потрапив на виступ, який хотів послухати. Тим більше, що зі спікером з Голландії Marcus Bakker чудово спілкувалися напередодні ввечері під час спікерської вечері. Вони з колегою є фрілансерами, надають послуги по напрямку Blue Team кільком великим європейським банкам і розробили свій фреймворк на основі MITRE ATT&K під назвою DeTT&CT.
І наступний 20-хвилинний трек про APT10 Compiler-level Obfuscations також пропустив((

Зате не пропустив сесію блискавичних виступів (lighting talks), якої не було у розкладі, але яка розпочалася о 18-30. Загалом з таймінгом було дуже чітко, він часто зсувався на 15-20 хвилин, але завжди на користь слухачів, тобто якщо спікер перебрав свій час, то час на каву-брейк жодним чином не скорочувався, чи недайбоже відмінявся. Просто наступний виступ зсувався, щоб відвідувачі попили-поїли спокійно. Загалом попити-поїсти було майже завжди вдосталь, практично без перерв: кава-чай, соки, донатси, тістечка, випічка, піца, фрукти. Голодним залишитися шансів просто не було, навіть після восьмої години вечора.
Так от, про блискавичні виступи, до 5 хвилин.
Багато часу було втрачено на намагання примусити працювати проектор, і коли це таки вдавалося, аудиторія радісними криками та оплесками вітала нового спікера.
Запам’яталося буквально пара виступів.
Один хлопець розказував про кількість скомпрометованих роутерів в Інтернет. Всього їх в Інтернеті близько 20 мільйонів, з них скомпрометовано близько 43 тисяч. Я думав більше, насправді. Також показував таблиці з брендами роутерів, але так швидко, що не встиг зафотати, а чи записувалося то на відео – не впевнений.
Інший чувак з Голандії прпонував безкоштовний декриптор до якоїсь екзотичної рансомварі і просив людей, які знають людей, які постраждали і від неї – дати їм його контакти.

А потім була чи найвеселіша сесія: Call for Failure.
Інтрига була у тому, що невідомо було про що взагалі йтиметься, який формат, про шо взагалі. Зрозуміло, що це якась пародія або за мотивами Call For Paper (запит пропозицій виступити на конференції), але шо і як – невідомо.
Виявилося, що це короткі виступи про різноманітні провтики. На той час у холі вже наливали халявне пиво та вино, тому публіка була вже трохи налаштована на пустощі.

Перший спікер одразу почав рвати зал на шмаття. Розказував про власний досвід як провтикати з подачею заявки на виступ на Hack.Lu у п’ять простих кроків, типу «провтикати терміни подачі», згадати якісь тізери, але нічого про це не написати, і ще «стати латекс-гуру». Останнього жарту не зрозумів, хоча від нього народ просто падав на підлогу від сміху. Ще треба не побачити відмови оргкомітету, яка потрапила у спам, а потім там же не побачити пізнішого запрошення виступити. Дуже весела презентація. І по факту чувак таки виступив на Hack.Lu, хоча і на тему «чому я не зміг виступити на Hack.Lu».

Ще один хлопець говорив про те, що ось ми тут усі вчимо юзерів не клікати каку, але не замислюємося що для деяких працівників саме це і є прямим завданням, наприклад для HR, які отримують багато листів з резюме з незнайомих email. Ідея в тому, що треба трошки більше заглиблюватися у бізнес-процеси компанії.

Третім вийшов надзвичайно життєрадісний лисий дядько, босий і з протезом руки. Розказував про те, як вони косячили з різними проектами. Висновок: пробуй-помиляйся, знову пробуй і буде тобі щастя. Ще показав відео, де людям в кінотеатрі на екрані показують кіно з видом від водія, який мчить по трасі. Ефект такий, нібито глядачі перебувають за кермом авто. І тут усім глядачам в кінотеатрі одночасно приходять повідомлення на телефон і усі лізуть його дивитися. А потім – бац! – на екрані вид від водія, який влупився у дерево. І усі такі здивовані дивляться на екран і на телефон. Феєрично.

А потім під бурхливі оплески залу вийшов один з організаторів конференції і почав виступати як провтикати з організацією вечері для 70 спікерів на конференції Hack.Lu. Так, це була якраз історія з попереднього дня (про яку я написав вище), і він подав її у форматі веселої презентації. Як виявилося, тих спікерів, які не потрапили до ресторану, повели у інші сусідні ресторани, голодним ніхто не лишився, все добре.
Оце я розумію рівень – спочатку завтикати, але потім посміятися над ситуацією та над собою разом з відвідувачами та спікерами у форматі презентації, яку швиденько зробити протягом доби. Клас, знімаю капелюха.

Після Call for Failure була ще одна сесія з загадковою назвою Power Point Karaoke.
Знайомі спікери-бельгійці мені розказали, що таке на цій конференції вже не вперше.
Суті у тому, що учаснику пропонується виступити з презентацією, яку він щойно побачив.
Протягом дня взяти участь у такому «караоке» а-ля «співаю все, що бачу» записуються усі бажаючі.
Це було теж дуже смішно, але вже ближче до сюр.
Записалося десь із десяток людей, їм досить швидко показували серйозні презентації про французьку революцію, про 10 ознак соціопата, про фермерство, смішні презентації, які складалися з якихось інтернет-мемів, беззмістовні презентації з набору якихось дурних картинок, та взагалі шо попало. І це потрібно було коментувати. Необов’язково зі смислом, але щоб було смішно.
Виходили пузаті лисі самовпевнені дядьки років так під п’ятдесят та самі собі сміялися, жіночка з пишними формами (яка, судячи з усього, хотіла заміж) коментувала не лише свої слайди, але й долучалася до інших учасників, дехто говорив з бокалами в руках, два чувака разом віджигали, порівнюючи MISP та фермерство, японець просто почав коментувати слайди японською (зал просто ревів), росіянин та німець удвох зображали типу інтерв’ю про росіянські новини та фейки раша-тудей, модератори активно долучалися до усього цього неймовірного безумного калейдоскопу. Короче, повна імпровізація у вже добряче підпитому залі, інколи доходило реально до істерики.
Між виступами модератори оголошували, що «наш халявний бар у холі скоро зачиняється, тому хто ще недопив – біжіть бігом», і 5-6 людей таки бігли.
Відео всього того бардака не записували, але один хлопчина переді мною знімав то все на свій iPnone 11. Можна спробувати пошукати в ют’юбах.
Для себе зрозумів, шо щоб таке шоу вийшло не тупим і не нудним, треба щоб учать брали самовпевнені та дотепні спікери (бо смішно було не завжди), швидко думати та обов’язково щоб була активна підтримка залу та модераторів. Ну і, звісно, халявний алкоголь налаштовує усіх присутніх на релакс та бажання розважитися після цілого дня серйозних виступів.

Що таке Cinema (Hack.Lu) вже не дізнався, бо очі затулялися і сідниці боліли сидіти, а стояти теж не було сил. То безідейно завалився відсипатися від насиченого емоціями та враженнями дня.

Ось таким мені запам’яталася конференція з кібербезпеки Hack.Lu
За атмосферою захід дуже схожий на найкращі українські кібер-конференції, навіть публіка дуже схожа. Хоча здалося, що серед відвідувачів більше людей віком 40+.
Була і зона вендорів, і воркшопи, і CTF, і стікери, і усе, що ми любимо і що є на наших конференціях.
Тобто назвати Hack.Lu чимось унікальним не можу. Звичайна нормальна якісна кібер-конференція, зроблена ентузіастами для ентузіастів, людьми для людей.

Чи рекомендував би відвідати якось Hack.Lu? Безумовно. Дехто з наших співвітчизників так і робить.
Ти поїду туди ще раз у якості відвідувача? Мабуть, ні: летіти далеко, з пересадкою, і ще дорого. Квитки на конференцію коштували від 650 до 1700 євро. Нормально для Західної Європи, але просто космос для України. Ціни в місті: 7-8 хвилин на таксі – 30 євро, картопля-фрі у кафе – 7 євро. Ото і рахуй. Навіть німці жалілися «ого як тут дорого».

Тому на цьому це все про Hack.Lu, побачимося на наступних кібер-конференціях в Україні.

Бережімося.

 

 

Костянтин Корсун

Голова Ради Громадської організації Українська група інформаційної безпеки, директор компанії з кібербезпеки Berezha Security.